URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84653
[ Назад ]

Исходное сообщение
"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 26-Мрт-09 07:12

У меня большая просьба:
напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы делал NAT для внутр сети и пускал только на: www, ftp (активный и пассивный). все.
Заранее очень благодарен!!!

Содержание

И все же ГУРУ IPFW, откликнитесь,angra, 07:47 , 26-Мрт-09
- И все же ГУРУ IPFW, откликнитесь,Camb, 07:51 , 26-Мрт-09
И все же ГУРУ IPFW, откликнитесь,Chinese, 09:13 , 26-Мрт-09
- И все же ГУРУ IPFW, откликнитесь,tiv, 09:21 , 26-Мрт-09
  - И все же ГУРУ IPFW, откликнитесь,Camb, 10:03 , 26-Мрт-09
  - И все же ГУРУ IPFW, откликнитесь,Camb, 19:50 , 26-Мрт-09
    - И все же ГУРУ IPFW, откликнитесь,Camb, 12:34 , 27-Мрт-09
      - И все же ГУРУ IPFW, откликнитесь,Camb, 10:12 , 08-Апр-09
        
        И все же ГУРУ IPFW, откликнитесь,tiv, 10:52 , 08-Апр-09
        
        И все же ГУРУ IPFW, откликнитесь,Camb, 12:05 , 08-Апр-09
        И все же ГУРУ IPFW, откликнитесь,Camb, 14:27 , 13-Апр-09

Сообщения в этом обсуждении

"И все же ГУРУ IPFW, откликнитесь"
Отправлено angra , 26-Мрт-09 07:47

Огласите сумму :)

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 26-Мрт-09 07:51

>Огласите сумму :)
в принципе пример из handbook рабочий для 80 порта.
а вот для ftp (активного и пассивного) не идет.

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Chinese , 26-Мрт-09 09:13

>У меня большая просьба:
>
>напишите конфиг ipfw + natd (или ipfw + kernel nat) который бы
>делал NAT для внутр сети и пускал только на: www, ftp
>(активный и пассивный). все.
>
>Заранее очень благодарен!!!
попробуй лучше pf. пример конфига там же - в хэндбуке.

"И все же ГУРУ IPFW, откликнитесь"
Отправлено tiv , 26-Мрт-09 09:21

что за ftp сервер?, можно для него указать диапазон портов для пассивных соединений?

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 26-Мрт-09 10:03

на счет PF - это запасной бронепоезд, оставлю на закуску ))
мне нужно чтобы юзеры мои ходили через НАТ на 80 и любой фтп (актив пассив). собсно все.
хотелось на ipfw.
еще раз: юзерам доступ только к 80 и любому фтп. все остальное - закрыто.
просто инетерсно: в хендбуке режут established, frag. другие наоборот их открывывают.. где правда? ))
Спасибо!

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 26-Мрт-09 19:50

------------------------ FROM HandBook ------------
00001 allow ip from any to any via lo0
00002 allow ip from any to any via age0
00014 divert 8668 ip from any to any in via ng0
00015 check-state
00020 skipto 800 tcp from any to any dst-port 20,21,22 out via ng0 setup keep-state
00021 skipto 800 tcp from any 20 to any in via ng0 setup keep-state
00030 skipto 800 udp from any to any dst-port 53 out via ng0 keep-state
00040 skipto 800 tcp from any to any dst-port 80,443 out via ng0 setup keep-state
00080 skipto 800 icmp from any to any out via ng0 keep-state
00330 deny ip from any to any frag in via ng0
00332 deny tcp from any to any established in via ng0
00400 deny log logamount 100 ip from any to any in via ng0
00450 deny log logamount 100 ip from any to any out via ng0
00800 divert 8668 ip from any to any out via ng0
00801 allow ip from any to any
00999 deny log logamount 100 ip from any to any
65535 allow ip from any to any
--------------------- end -------------------------------------
правило 21 добавил я. теперь юзеры могут ходить на активный Фтп. Но как не нравится мне это правило.
НУ ПОЖАЛУЙСТА!!!

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 27-Мрт-09 12:34

все, нашел )))
natd punch_fw
спасибо всем! ))
просьба, оцените конфиг
-------------------------------------------
00001 allow ip from any to any via lo0
00002 allow ip from any to any via age0         // lan iface
00015 divert 8668 ip from any to any via ng0
00016 allow tcp from any to any established
00020 allow tcp from me to any via ng0 setup
00050 allow udp from me to any dst-port 53         // dns
00051 allow udp from any 53 to me                  // dns
00052 allow icmp from any to any icmptypes 0,8     // icmp
00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup     // users
00999 deny ip from any to any
-------------------------------------------

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 08-Апр-09 10:12

это не то что я хотел.
данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу.
как оставить только ftp,smtp,pop3?

"И все же ГУРУ IPFW, откликнитесь"
Отправлено tiv , 08-Апр-09 10:52

>это не то что я хотел.
>данный конфиг позволяет юзерам из внутр.сети обращаться на любой порт TCP наружу.
>
>
>как оставить только ftp,smtp,pop3?
после того как пакеты попали в это правило
00015 divert 8668 ip from any to any via ng0
они уже не попадут сюда, так как будут иметь в качестве src адрес шлюза
00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup
вот тут и думайте как реализовать, можно использовать skipto, а можно писать правила только для локального интерфейса, явно описать все что можно, а все что нельзя будут правила для интернет

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 08-Апр-09 12:05

>[оверквотинг удален]
>>как оставить только ftp,smtp,pop3?
>
>после того как пакеты попали в это правило
>00015 divert 8668 ip from any to any via ng0
>они уже не попадут сюда, так как будут иметь в качестве src
>адрес шлюза
>00060 allow tcp from 192.168.17.0/24 to any dst-port 20,21,22,25,110 setup
>вот тут и думайте как реализовать, можно использовать skipto, а можно писать
>правила только для локального интерфейса, явно описать все что можно, а
>все что нельзя будут правила для интернет
ладно, седня опять буду штурмовать!!!!!
спасибо, tiv!

"И все же ГУРУ IPFW, откликнитесь"
Отправлено Camb , 13-Апр-09 14:27

Еще раз спасибо, раобрался.
для внутренней сетки открыт порт 21, далее natd punch_fw и счастье для активного фтп-клиента.
а как быть с пассивным режимом? punch_fw не дырявит файерволл при пассивном клиенте!!!
А надо!! ))
Как быть??